:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Grundverordnung im Mittelstand Was KMU jetzt für die DSGVO unbedingt noch tun müssen
Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Fehlen interne Ressourcen für ein wichtiges Projekt, sind Outsourcing von Aufgaben und Insourcing von Kompetenzen die Wege der Wahl. Im Fall der Datenschutz-Grundverordnung (DSGVO / GDPR), die ab 25. Mai 2018 anzuwenden ist, finden Unternehmen auf dem Markt vielfältige Angebote, wie Beratung, Schulung, spezielle Tools, die bei der Umsetzung der DSGVO helfen, und externe Datenschutzbeauftragte, die sich als Datenschutz-Dienstleister schon seit langem etabliert haben.
Wie eine Studie des Digitalverbandes Bitkom ergab, hat sich nur jedes zweite Unternehmen in Deutschland bei der Umsetzung der EU-Datenschutzgrundverordnung bislang Hilfe von externen Experten geholt: 48 Prozent aller Unternehmen mit 20 oder mehr Beschäftigen geben demnach an, Spezialisten außerhalb des eigenen Hauses hinzugezogen zu haben. Am häufigsten wurden externe Anwälte eingeschaltet, die von rund jedem dritten Unternehmen (35 Prozent) konsultiert wurden. Externe Prüfer oder Auditoren haben 29 Prozent aller Unternehmen hinzugezogen, eine externe Datenschutzberatung fand in jedem fünften Unternehmen (21 Prozent) statt.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336577/original.jpg "Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen. (kebox - stock.adobe.com)")
Meldepflichten bei IT-Sicherheitsvorfällen
Meldepflichten gibt es nicht nur bei der DSGVO
Die Aufstockung des eigenen Personals ist noch weniger Unternehmen gelungen: Bislang setzt nur jedes vierte Unternehmen (25 Prozent) zusätzliches Personal im Unternehmen ein, um die Umsetzung der DSGVO voranzubringen. Dabei haben gerade einmal fünf Prozent der Unternehmen zusätzliches Personal eingestellt, 20 Prozent geben an, vorhandenes Personal durch Umstrukturierungen für die DSGVO-Umsetzung einzusetzen.
Die wenigen Datenschutzexperten, die auf dem Markt zu finden sind, sind meistens sehr teuer, zudem bevorzugen sie, in größere Unternehmen einzutreten. Die Studie Global Information Security Workforce gab bereits im Februar 2017 Hinweise, dass der Qualifikationsmangel und Personalmangel mit einer schlechten Vorbereitung vieler Unternehmen in DACH auf die Datenschutzgrundverordnung einhergeht. Für kleine und mittlere Unternehmen gilt das ganz besonders.
DSGVO: Eine gewisse Sonderrolle für kleine Unternehmen
Sowohl der Gesetzgeber als auch die Aufsichtsbehörden für den Datenschutz sind sich sehr wohl bewusst, dass kleine und mittlere Unternehmen auf größere Schwierigkeiten treffen können, wenn es um die Umsetzung der DSGVO geht. Aus diesem Grund werden zum einen spezielle Schulungs- und Beratungsunterlagen angeboten, die den Zugang zur DSGVO vereinfachen sollen. Ein Beispiel ist ein Online-Test zur Standortbestimmung auf dem Weg zur DSGVO. Der Online-Test wurde vom Bayerischen Landesamt für Datenschutzaufsicht entwickelt.
Aber auch die DSGVO selbst behandelt die spezielle Situation der KMU. In den Erwägungsgründen zur DSGVO findet man zum Beispiel, dass die EU-Kommission besondere Maßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen erwägen soll. Zudem heißt es dort: „Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“
Hinsichtlich des Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30 DSGVO, früher Verfahrensverzeichnis) gilt: Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten nicht umsetzen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.
Auch im Bereich Schulung und Aufklärung sollen spezielle Maßnahmen für KMU ergriffen werden: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“
Ein weiterer Punkt: Die mit der DSGVO eingeführten Verhaltensregeln sollen insbesondere dazu dienen, eine wirksame Anwendung der Verordnung zu erleichtern, wobei den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist. Das bedeutet konkret: Verbände sollten spezielle Verhaltensregeln entwickeln und nach DSGVO genehmigen lassen, damit die KMU Best-Practice-Anleitungen haben, wie sie die DSGVO umsetzen können. Diese Verhaltensregeln (Artikel 40 DSGVO) gibt es jedoch in der Form noch nicht. Im Bereich der Datenschutz-Zertifizierung (Artikel 42 DSGVO) soll ebenfalls „den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden.“ Auch hier sind die Vorbereitungen nicht abgeschlossen.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336565/original.jpg "Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (BillionPhotos.com - stock.adobe.com)")
Klarheit bei der Datenschutz-Grundverordnung
9 DSGVO-Mythen enttarnt!
KMU müssen jetzt Prioritäten setzen
Vieles wird sich also noch entwickeln. KMU sollten deshalb jetzt an folgendes denken:
Priorität 1: Tatsächliche Anforderungen erfüllen. Wer als kleines oder mittelständisches Unternehmen noch vor einem Berg an Aufgaben zur Umsetzung der DSGVO steht, sollte prüfen, ob zum Beispiel ein Verzeichnis von Verarbeitungstätigkeiten überhaupt geführt werden muss (Kriterien sind in Artikel 30 DSGVO).
Priorität 2: Unterstützung bei Aufsichtsbehörden suchen. Die wenigen, verbleibenden Monate bis Mai 2018 sollten KMU so nutzen, dass sie so viel Hilfe in Anspruch nehmen, wie es möglich ist, und gleichzeitig den Fokus legen auf die wichtigsten Baustellen.
Priorität 3: Aktuellen Stand dokumentieren. Natürlich kann man nicht einfach bestimmte Forderungen unberücksichtigt lassen. Wichtig ist aber, dass man genau dokumentiert, wo man steht, warum man dort steht und was noch zur Umsetzung fehlt. Dadurch hat man nicht nur einen Projektplan, sondern man hat auch eine Dokumentation für die Aufsichtsbehörde. Hilfreich sind hier die Fragebögen des LDA Bayern zur DSGVO.
Priorität 4: Auf Verhaltensregeln achten. Zudem sollten KMU prüfen, ob sich in den Verbänden, in denen sie Mitglied sind, bereits Verhaltensregeln entwickeln. Solche Verhaltensregeln werden bei der Umsetzung der DSGVO branchenspezifisch helfen, wenn es sie denn dann gibt.
(ID:45088574)
:quality(80)/p7i.vogel.de/wcms/47/da/47da556a443fe4e0831727b11fd609c3/0112213004.jpeg "Deutsche Unternehmen müssen die vorhandenen Spielräume der DSGVO nutzen und Datenverarbeitung als Chance verstehen, nicht immer nur als Risiko. (Bild: DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/89/2289bdc0480d6c821ace319a2b98f084/0111034551.jpeg "Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen. (Bild: thodonal - stock.adobe.com)")